Fortinet FortiDeceptor命令注入漏洞 (CVE-2020-29017)

一、基本情况

近日，Fortinet发布1月安全更新公告，修复了FortiWeb、FortiDeceptor产品及应用存在6处漏洞，其中FortiDeceptor命令注入漏洞威胁风险较高，对应CVE编号：CVE-2020-29017，攻击者可利用该漏洞在目标系统上执行任意shell命令。目前，官方已发布新版本修复该漏洞，建议受影响用户及时至最新版本，并做好资产自查以及预防工作，以免遭受黑客攻击。

二、漏洞等级

高危

三、漏洞描述

Fortinet FortiDeceptor是美国飞塔（Fortinet）公司的一款网络威胁检测平台。该平台主要通过欺骗技术暴露网络威胁等。

FortiDeceptor 3.0.1和3.1.0及以下版本存在命令注入漏洞，经身份验证的攻击者通过构造恶意页面在目标系统上执行任意shell命令。

四、影响范围

FortiDeceptor <= 3.0.1

FortiDeceptor <= 3.1.0 五、安全建议 Fortinet官方建议用户尽快将FortiDeceptor版本升级至相对应安全版本： FortiDeceptor >=3.2.0

FortiDeceptor >=3.1.1

FortiDeceptor >=3.0.2